Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 - CZERWIEC 2016


PYTANIE NR 18.
Atak komputerowy, polegający na wyłudzaniu poufnych informacji osobistych przez podszywanie się pod godną zaufania osobę lub instytucję, to
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Phishing to atak socjotechniczny polegający na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia poufnych danych (np. haseł, numerów kart). Spoofing jest jedynie techniką fałszowania tożsamości, a spam i backscatter nie definiują celowego wyłudzania informacji.

Pełne wyjaśnienie:

Opis "wyłudzanie poufnych informacji osobistych przez podszywanie się pod godną zaufania osobę lub instytucję" odpowiada definicji phishingu. Jest to atak socjotechniczny, w którym kluczowe są dwa elementy: (1) impersonacja (udawanie banku, urzędu, kuriera, znajomego) oraz (2) cel wyłudzenia danych (np. loginów, haseł, danych kart, kodów jednorazowych).

Odpowiedź "spoofing" nie pasuje, bo spoofing oznacza przede wszystkim technikę fałszowania tożsamości lub parametrów komunikacji (np. adresu e-mail, IP, DNS). Spoofing może być użyty w phishingu (np. sfałszowany nadawca), ale sam w sobie nie musi zawierać zamiaru pozyskania danych od ofiary.

"Spam" to masowe, niechciane wiadomości. Mogą być uciążliwe i czasem prowadzić do oszustw, ale sam termin nie oznacza wprost podszywania się w celu kradzieży informacji. "Backscatter" to uboczny efekt poczty elektronicznej: automatyczne odpowiedzi (np. zwrotki) wysyłane na sfałszowane adresy nadawcy, a nie metoda wyłudzania danych.

Wskazówka egzaminacyjna: jeśli w definicji pojawia się jednocześnie "podszywanie się" oraz "wyłudzanie danych", najczęściej chodzi o phishing. Gdy mowa wyłącznie o fałszowaniu adresu/tożsamości bez akcentu na wyłudzenie, właściwsze jest pojęcie spoofingu.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest phishing i na czym polega?
Phishing to atak socjotechniczny, w którym napastnik podszywa się pod zaufaną osobę lub instytucję, aby wyłudzić poufne dane (np. hasła, kody SMS, dane kart). Najczęściej wykorzystuje e-mail, SMS lub fałszywą stronę logowania.
Dlaczego phishing jest zaliczany do socjotechniki?
Bo kluczowym mechanizmem jest manipulacja człowiekiem, a nie łamanie zabezpieczeń "siłowo". Ofiara sama podaje dane lub klika link, wierząc w autentyczność nadawcy. Techniczne elementy mogą występować, ale rdzeniem ataku jest wpływ psychologiczny.
Jaka jest różnica między phishingiem a spoofingiem?
Phishing to typ ataku z celem: wyłudzenie informacji przez podszywanie się. Spoofing to technika fałszowania tożsamości (np. adresu e-mail, IP, DNS). Spoofing bywa używany w phishingu, ale nie każdy spoofing oznacza phishing.
Czy spoofing zawsze oznacza kradzież danych?
Nie. Spoofing oznacza fałszowanie tożsamości/parametrów komunikacji i może służyć różnym celom (np. utrudnianiu identyfikacji źródła ataku). Kradzież danych jest typowa dla phishingu, ale spoofing może wystąpić bez wyłudzania informacji.
Co oznacza termin spam w kontekście bezpieczeństwa?
Spam to niechciane, masowe wiadomości (najczęściej reklamowe). Może zawierać linki do złośliwych treści, ale sam termin nie oznacza podszywania się w celu wyłudzenia danych. Na egzaminie warto odróżniać spam (masowość) od phishingu (wyłudzenie).
Co to jest backscatter w poczcie elektronicznej?
Backscatter to uboczne "odpryski" e-mail: automatyczne odpowiedzi (np. zwrotki niedostarczenia), które trafiają do niewinnych osób, gdy ktoś sfałszował adres nadawcy. To zjawisko związane ze spoofingiem adresu e-mail, a nie bezpośrednio z phishingiem.
Jak rozpoznać próbę phishingu w e-mailu?
Sprawdź domenę nadawcy i adres zwrotny, porównaj link (najechanie myszą) z treścią, zwróć uwagę na presję czasu i prośby o dane. Podejrzane są załączniki z makrami oraz prośby o logowanie "pilnie". W razie wątpliwości użyj oficjalnej strony wpisanej ręcznie.
Jakie dane są najczęściej wyłudzane w phishingu?
Najczęściej są to: loginy i hasła (poczta, bankowość, portale), kody jednorazowe/MFA, dane kart płatniczych, dane osobowe oraz odpowiedzi na pytania bezpieczeństwa. Celem jest przejęcie kont, płatności lub dalsze ataki (np. BEC).
Czy MFA/2FA chroni przed phishingiem?
Często znacząco pomaga, ale nie jest gwarancją. MFA utrudnia przejęcie konta po kradzieży hasła, jednak istnieją scenariusze wyłudzania kodów lub przechwytywania sesji. Najlepsze są metody "phishing-resistant" i czujność użytkownika oraz weryfikacja adresów.
Jakie błędy najczęściej popełnia się na egzaminie przy tych pojęciach?
Najczęstszy błąd to utożsamienie spoofingu z phishingiem, bo oba wiążą się z podszywaniem. Warto pamiętać: phishing zawsze zawiera cel wyłudzenia danych, a spoofing opisuje metodę fałszowania. Drugi błąd to mylenie spamu z phishingiem.
info

To pytanie poprawnie rozwiązuje 59% zdających egzamin. średnie

Według specjalistów z branży: "Phishing to atak socjotechniczny polegający na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia poufnych danych (np. haseł, numerów kart)."

Źródła:

  • NIST Computer Security Resource Center (CSRC) Glossary – hasło "Phishing" oraz powiązane pojęcia (glossary), https://csrc.nist.gov/glossary (dostęp: 2026-03-01)
  • NIST SP 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management – sekcje dot. phishing-resistant authentication (kontekst pojęcia phishing), https://csrc.nist.gov/publications/detail/sp/800-63b/final (dostęp: 2026-03-01)
  • ISO/IEC 27000:2018 Information technology — Security techniques — Information security management systems — Overview and vocabulary (terminologia bezpieczeństwa informacji) – źródło normatywne, dostęp przez ISO (wymaga dostępu) (dostęp: 2026-03-01)

Materiały:

  • Słownik/terminologia NIST dotycząca pojęć cyberbezpieczeństwa
  • Materiały wprowadzające do ISO/IEC 27001/27000 (pojęcia i definicje bezpieczeństwa informacji)
  • Poradniki CERT/CSIRT o phishingu (przykłady i rozpoznawanie)
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego